Active Directory Einrichtung – Server 2019

Da ich keine meiner Demo Umgebungen auf Server 2019 migrieren wollte habe ich eine Neueinrichtung vorgenommen. In diesem Artikel ist die Einrichtung einer Active Directory Umgebung zusammengefasst. 

Grundsätzlich kann diese Anleitung auch als Basis für ein Active Directory das im Produktivbetrieb läuft verwendet werden.

Bei Windows Server 2019 hat sich auf den ersten Blick nicht viel geändert. Microsoft bietet die Aufzeichnung eines Webinar zu dem Thema an.

Zur Netztrennung zwischen meinen Demoumgebungen nutze ich eine virtuelle pfsense.

Vorbereitungen

Die Hardwareanforderungen an eine Domain Controller sind gering. In meinem Fall begnügt sich der Server mit 2GB Ram und 2 CPU Kernen.

Während der Installation und den Windows Updates gebe ich ihm mehr Arbeitsspeicher und CPU-Kerne damit es flotter vorangeht.

Beim zweiten Domain Controller bietet es sich an den Server im Core Modus zu installieren. Dieser lässt sich problemlos in Server Manager integrieren und von dort Verwalten. 

Obacht, die Vorauswahl bei der Installation steht auf Core Installation. Die grafische Oberfläche kann nicht wie bei Server 2016 nachträglich installiert werden.

Hier die Bilderstrecke der Installation

Nach der Installation aktualisieren wir den Server mit allen vorhandenen Windows Updates.

Bevor der Server zum Domain Controller hochgestuft werden kann vergeben wir eine Statische IP-Adresse und geben ihm einen „sprechenden Namen“ z.B. „ADS01“

Active Directory

Bevor man beginnt sollte man sich Gedanken über einen Sinnvollen Namen Gedanken machen. Dazu gibt es einen Artikel von André Pflaum. Microsoft beschreibt die Namenskonventionen für NetBIOS und DNS-Hostnamen in diesem Artikel.

Gehen wir von dem Fall aus das unser Unternehmen ACME die öffentliche Domain acme.com verwendet. In diesem Fall würde ich es wie folgt aufbauen:

  • ADS-Domäne: int.acme.com
  • NetBios: acme

Im zweiten Fall hat unsere Firma Stahlmöbel Bauer die öffentliche Domain stahlmöbel-bauer-gmbh.de. Dann wäre ein Sinnvoller Aufbau

  • ADS-Domaine: int.stahlmoebel-bauer-gmbh.de
  • NetBios: bauer

Im zweiten Beispiel kann habe ich den NetBios-Namen verkürzt.

In der erstem Bilderserie habe ich die Installation der Active Directory Rolle zusammengefasst. Hier wird der Assistent „durchgeklickt“. Den Haken bei „Zielserver automatisch neu starten“ kann man sich sparen. Der Server benötigt bei der Installation der Rolle keinen Neustart.

In der zweiten Bilderserie Stufen wir den Server zum Domain Controller hoch. Dieser Schritt wird im Server Manager durchgeführt.
Anmerkung: „DCPromo“ gibt es seit Server 2012 nicht mehr.

Die Pfadeinstellungen für den NTDS- und Sysvol-Ordner belassen wir bei den Standardeinstellungen. Es ist Grundsätzlich denkbar diese auf eine  Partition zu legen. 

Das DSRM Wiederherstellungskennwort muss dokumentiert und sicher verwahrt werden. Es wird im Wiederherstellungsfall benötigt.
Anmerkung: Es lässt sich im laufenden Betrieb mit ntdsutil ändern.

Damit ist das hochstufen zum Domain Controller abgeschlossen. Wir können nun die nächsten Punkte angehen.

DNS Konfigurieren

Hier unterscheiden wir zwischen DNS-Client Einstellungen und DNS-Server Einstellungen. Zuerst die DNS-Client Einstellungen 

Best Practice ist, beide DNS-Server „über Kreuz“ einzutragen. In meinem Fall ist ADS01 192.168.1.10 und ADS02 192.168.1.11. Bei ADS01 wird ADS02 als Primärer DNS-Server eingetragen und umgekehrt bei ADS02. Als zweite IP-Adresse dann die eigne. Zusätzlich wird als dritte IP die localhost Adresse hinterlegt.

An diese Stelle wird kein Eintrag zu einem öffentlichen DNS-Server hinterlegt!

DNS-Konfiguration Domain Controller
DNS Einstellungen der Netzwerkkarte

Kommen wir zu den Einstellungen des DNS-Server. Die Grundeinstellungen für einen DNS-Server habe ich bereits in einem vorangegangen Artikel beschrieben.

In meinem Fall  nutze ich eine Split-Brain DNS Konfiguration. Das macht mich zu einen flexibel, bedeutet aber auch ein doppelter Verwaltungsaufwand intern bzw. extern.

Wir erstellen eine neue Authoritative Zone für scarymachines.de mit einem Hosteintrag für www.

Danach können wir eine Abfrage mit nslookup auf die Adresse www.scarymachines.de durchführen- Hier sollte die IP unseres Webservers zurückgegeben werden. Alle weiteren Adressen z.B. Subdomains müssen nun in dieser Zone gepflegt werden.

nslookup Abfrage für wwww.scarymachines.de
nslookup-Abfrage

DHCP Konfigurieren

Ein DHCP Server wird nicht für den Betrieb eines Active Directory benötigt. Ich werde einen entsprechenden Artikel nachreichen und hier verlinken.

Zeitserver Konfigurieren

Einer der „Klassiker“ sind falsch oder nicht konfigurierte Zeitdienste.

Eine der 5 FSMO-Rollen, der PDC-Emulator ist als Zeitgeber für alle Mitglieder der Domain verantwortlich. Dieser selbst sollte die Zeit mit einer externen Quelle abgleichen z.B. der Physikalisch-Technische Bundesanstalt. Diese ist in Deutschland für die Offizielle Uhrzeit verantwortlich, dies ist im Einheiten- und Zeitgesetz – EinhZeitG geregelt.

Sicherheitstechnisch kann man einen NTP-Server über die Firewall bereitstellen. Damit kann man einen offenen Port nach außen sparen.

Für die Konfiguration der Zeitquelle erfolgt mit w32tm. Ich habe hier die Server der Physikalisch-Technische Bundesanstalt verwendet.

Auch hier habe ich einige Screenshots bereitgestellt.

Active Directory Standort und Dienste

Oft sehe ich das man sich nicht die Mühe macht den Standort der Domain anzupassen. Das finde ich schade da es nur ein paar Sekunden dauert und zur Konfiguration des AD dazugehört. „Default-First-Site-Name“ sieht auch nicht sehr schick aus…

Wir benennen die Site lediglich um. Hier biete sich der Ortsname an. Bei Firmen im gleichen Ort mit mehreren Standorten z.B. der Straßenname oder die Funktion des Standort (Vertrieb/Logistik). Nach dem Umbenennen hinterlegen wir das Subnetz

Im Anschluss prüfen wir per Shell mit nltest /dsgetsite (NLTEST). Ob der Standort korrekt ausgegeben wird.

nltest /dsgestsite
Abfrage des Active Directory Standort

Im DNS-Server wird es danach so angezeigt

DNS-Server
Anzeige des Standort im DNS-Server

BPA Ausführen

Gerne wird der Best Practice Analyzer belächelt. verstehe ich nicht. Microsoft bietet hier die ein Tool das auf bekannte Konfigurationsfehler prüft. Ich nutze die Fehler und Warnungen als Denkanstoß.

Active Directory Papierkorb aktivieren

Werde ich in einem eigenen Artikel nachreichen.

Active Directory Design

Über das Design haben wir uns hoffentlich vorher Gedanken gemacht. Hier gibt es mehrere Ansätze.

Mein Tipp: Trennt die OU sauber nach User, Abteilungen, Standort, Clients und Server. Damit lässt sich in einer Testumgebung sehr gut arbeiten.

Mit der Webseite von Helge Klein oder mit Fake Name Generator lassen sich realistische Benutzerkonten mit Zusatzinformationen nach Wunsch erstellen.

Gruppenrichtlininen erstellen

passende Gruppenrichtlinien und Zusatzanwendungen 

Kai

Kai ist Fachinformatiker für Systemingegration und Teamleiter bei Krämer-IT Solutions.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.